HP가 2014년에 발표한 자료에 따르면 90% 넘는 IoT 장비들이 개인정보를 수집한다고 한다.
하지만 70% 장비가 암호화하지 않은 네트워크 서비스를 제공하고 있고, 80% 장비들이 사용자 최초 인증 등록 시 충분히 안전한 패스워드를 요구하고 있지 않다. 이는 무차별 대입 공격과 같은 간단한 공격에도 인증 시스템을 통과할 가능성이 높다는 것을 의미한다.
IoT로 구현된 의료장비는 보안 사고로 인한 결과가 더 치명적이다. 인터넷과 연결된 환자 약물 주입기나 원격 진단장비 또는 체내에 삽입되는 심장 제세동기 등이 환자 생명에 치명적인 결과를 초래할 수 있기 때문이다. 이에 미국에서는 의료기기 대상으로 최소 24가지 넘는 보안 취약점을 전수 조사하고 있다.
외국에서는 IoT 플랫폼의 구조적 보안 취약성과 계속 진화하는 보안 위협에 어떻게 대응하고 있을까. MS는 개발 단계마다 보안이나 프라이버시와 관련된 위험을 분석하고, 공격 대상이 될 수 있는 부분을 고려한다. 고객에게 소프트웨어(SW)를 배포하기 전에 알려지지 않은 보안 취약점을 최대한 찾아내 제거하고 있다.
그렇다면 우리나라 제품 개발사들이 IoT 시대에 보안 위협을 지혜롭게 대처할 수 있는 방안은 무엇일까.
첫째, 제품 개발 기획단계부터 보안을 고려해 설계·구현하고 검증해야 한다. SW 결함이 악의적인 해커에 의해 공격 도구로 사용되면 엄청난 보안 취약점이 될 수 있기 때문이다.
둘째, 보안 위협에 신속하게 대응하기 위해서는 항상 최신 SW를 유지해야 한다. 시스코, 페이스북, 화웨이, GM 등 IoT 장비 제조·서비스 기업들은 SW 배포 시스템을 통해 개발단계에서 발견되거나 새로 알려진 보안 취약점을 해결한 패치 버전을 즉각적으로 배포할 수 있는 환경을 구축해 피해를 최소화하고 있다.
셋째, IoT 플랫폼 특성을 고려한 실용적인 인증 체계를 구축해 전체적인 보안 수준을 높여야 한다. 미국은 국가 기반시설을 위한 인증 체계인 ISASecure 프로그램을 개발해 보안 장비, 운용 시스템 그리고 개발 프로세스에 걸쳐 일정 수준 이상으로 보안체제를 구축하고 있다.
IoT 기기들이 제공하는 편리함을 누리기 위해서는 제품 개발사들이 보다 적극적이고 선제적으로 보안 문제를 인식하고 대비책을 마련해야 할 것이다.
[이상헌 MDS테크놀로지 대표 ]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]